Utilisez les ressources de surveillance plus efficacement grâce à l'équilibrage de charge intelligent

Comment puis-je distribuer mon network trafic pour analyse
aussi efficacement que possible en utilisant l'équilibrage de charge ?

Problème

Souvent, les systèmes d'analyse, de surveillance et de sécurité possèdent plusieurs ports pour recevoir et traiter les données entrantes provenant des sources correspondantes. network Points d'accès. Nombre de ces systèmes disposent d'au moins 2, 4, voire plus de ports prêts à recevoir des données.

Selon le type et l'emplacement des différents network Les points d'accès offrent à l'utilisateur la possibilité de fournir un port physique dédié par ligne connectée. Cependant, plusieurs conditions préalables sont nécessaires.

La vitesse et la topologie de network Les lignes à analyser doivent être identiques aux connexions du système d'analyse et il faut exclure la possibilité d'ajouter ultérieurement d'autres points de prélèvement qui seraient évalués par le même système d'analyse.

Approches

Outre les problèmes de vitesse et de topologie, des systèmes d'analyse supplémentaires peuvent bien entendu être installés à tout moment si le nombre de lignes à surveiller augmente.
Cependant, il s'agit souvent de l'option la plus coûteuse et la plus longue. Outre les achats nécessaires, elle impliquerait pour l'utilisateur de gérer un autre système, une charge administrative supplémentaire évitable.

Pour éviter une telle situation, il existe différentes options et, en fonction de la configuration déjà en place, des procédures techniques peuvent être utilisées pour distribuer plus efficacement les données entrantes des points de mesure vers les ports physiques déjà en place.
Dans de nombreux cas, c'est principalement le rapport entre le volume de données et le nombre de points de mesure par rapport au nombre de ports disponibles sur le système d'analyse, et non la quantité de base du volume de données, qui peut entraîner des goulots d'étranglement de nature physique.

L'équilibrage de charge (semi-dynamique) et l'équilibrage de charge dynamique peuvent tous deux s'avérer utiles, une fonctionnalité que la plupart des utilisateurs apprécient. network Les courtiers de paquets comprennent :
Ici, un groupe/nombre de ports physiques est combiné sur le Network Packet Broker et défini comme une instance de sortie logique unique. Les flux de données quittant le Network Packet Broker via ce regroupement de ports, les messages sont distribués à tous les ports qui font partie de ce regroupement, mais les sessions individuelles restent intactes.

Exemple

 

Prenons l'exemple suivant : 8 points de mesure ont été définis et répartis localement. networkUne session entre deux points d'extrémité s'effectue via chaque point de prélèvement. Le système d'analyse utilisé est équipé de quatre ports d'acquisition de données.
Même si l'on suppose que les points de mesure sont exclusivement des ports SPAN ou miroir, le problème persiste : trop de points de mesure rencontrent trop peu de ports.

Et c'est là Network Packet BrokerLes protocoles avec équilibrage de charge entrent en jeu. L'équilibrage de charge garantit que chaque session entre 2 points d'extrémité de chaque point de mesure est envoyée dans son intégralité vers un seul port du système d'analyse connecté.
Pour simplifier, supposons que les 8 sessions des 8 points de mesure sont réparties équitablement entre les 4 ports du système d'analyse, 2 sessions par port.

Tout cela est entièrement dynamique ; les sessions ajoutées ultérieurement entre les terminaux sont automatiquement envoyées aux ports du système d'analyse appartenant au groupe de ports. Il n'est pas nécessaire de configurer ou de modifier la configuration. Network Packet Broker ensuite; les automatismes intégrés permettent la distribution automatisée et fiable de flux de données supplémentaires vers le système d'analyse.

Bien entendu, il est également possible de connecter des points de prise supplémentaires au Network Packet Broker et que leurs données soient incluses dans l'équilibrage de charge, ainsi que pour étendre le groupement de ports mentionné ci-dessus avec des ports de sortie supplémentaires.
Toutes ces étapes peuvent être effectuées pendant le fonctionnement, les flux de données supplémentaires sont distribués aux ports nouvellement ajoutés du système d'analyse en temps réel sans interruption.

Retirer les ports, même en cours de fonctionnement, ne pose aucun problème ! Network Packet Broker est capable de garantir que les paquets/sessions sont transmis aux ports restants du système d'analyse sans aucune perte de temps ou de paquets.

 

Sessions et tuples

Mais comment le Network Packet Broker garantir que les sessions entières sont toujours distribuées sur les ports individuels du groupe d'équilibrage de charge mentionné ci-dessus ?

À cette fin, une valeur de hachage est générée à partir de chaque paquet. Une fonction intégrée garantit qu'en cas de communication bidirectionnelle, les paquets des deux sens de transport quittent le Network Packet Broker encore sur le même port.

Ces valeurs de hachage sont déterminées à l'aide du mécanisme dit « 5-tuple », où chaque tuple représente un champ spécifique dans l'en-tête de chaque trame Ethernet. Les tuples disponibles sur Network Packet Broker (par exemple NEOXPacketLion), qui sont utilisés pour l'équilibrage de charge dynamique, sont :

• Port d'entrée (connexion physique)
• Éthertype
• MAC source
• MAC de destination
• Étiquette VLAN
• Étiquette MPLS
• Identifiant du point de terminaison du tunnel GTP
• IP interne GTP
• Protocole IP
• IP source
• IP de destination
• Port source de couche 4
• Port de destination de couche 4

Selon la structure et la configuration de networket, selon que les paquets sont transportés via NAT ou non, une autre distribution très courante de tuples est :

• Protocole IP
• IP source
• IP de destination
• Port source de couche 4
• Port de destination de couche 4

Avec l'équilibrage de charge basé sur « 5 tuples », tous les tuples mentionnés ci-dessus sont utilisés pour former une valeur de hachage qui garantit que tous les paquets, y compris la direction inverse correspondante, quittent toujours le Network Packet Broker via le même port et ainsi, par exemple, le système de sécurité utilisé ne reçoit toujours et fondamentalement que des sessions complètes pour évaluation.

Valeurs de hachage

Afin de pouvoir générer la valeur de hachage réelle sur laquelle est basé l'équilibrage de charge, l'utilisateur dispose de deux fonctions différentes, CRC32 et GRATUIT.

Grâce à la fonction CRC32, des clés de hachage d'une longueur de 32 bits peuvent être générées et peuvent être utilisées de manière symétrique et asymétrique, tandis que la fonction XOR crée une clé de hachage de 16 bits de long, qui, selon l'utilisation prévue, permet une distribution des données à plus haute résolution, mais ne peut les sortir que de manière symétrique.

Cette symétrie signifie que même si l'IP source et l'IP de destination sont échangées, comme on le sait dans les conversations régulières de couche 3, la fonction calcule toujours la même clé de hachage et donc les conversations complètes de couche 3 quittent toujours le Network Packet Broker sur le même port physique.

Dans le cas d'une distribution asymétrique, qui n'est prise en charge que par la fonction CRC32, le Network Packet Broker PacketLion calculerait différentes valeurs de hachage dans la situation décrite ci-dessus et serait donc également émise en conséquence sur différents ports physiques.

Équilibrage de charge dynamique

Une autre fonctionnalité supplémentaire de l'équilibrage de charge réside dans la possibilité d'étendre cette fonctionnalité de manière dynamique. Dans le cas de l'équilibrage de charge dynamique, outre la valeur de hachage expliquée ci-dessus, le pourcentage d'utilisation de chaque port du groupe de ports d'équilibrage de charge est également inclus dans le calcul.

Bien entendu, cette procédure ne divise aucun flux et garantit également que si un flux est émis sur la base des calculs effectués sur un port spécifique, ce flux quittera toujours le port. Network Packet Broker via le même port dans le futur.

Grâce à un délai d'expiration configurable, l'utilisateur peut définir le moment où un flux perd son affiliation à un port de sortie. En cas de récurrence, le flux est à nouveau transmis régulièrement aux participants du groupe de ports d'équilibrage de charge. La détection de la charge dans le flux de transmission et la génération de la valeur de hachage permettent de déterminer le port de sortie concerné. Network Packet Broker est actuellement le plus adapté pour amener les données au système d'analyse connecté.

Conclusion

Il s'avère que la répartition de la charge de données entrantes par équilibrage de charge est depuis de nombreuses années un moyen efficace d'exploiter les systèmes de sécurité, d'analyse et de surveillance. Au fil des ans, ce processus a été amélioré et a abouti à l'équilibrage de charge dynamique de la série PacketLion.

Le suivi constant de la configuration en ce qui concerne la distribution des sessions individuelles aux systèmes connectés n'est plus nécessaire ; cette tâche est désormais prise en charge par l'intelligence du Network Packet Broker et permet à l'utilisateur d'utiliser tout le potentiel de ses systèmes et d'éviter des dépenses inutiles.